Desde que habláramos hace unas semanas del ataque sufrido por las oficinas en Estados Unidos de Sony Pictures por parte del grupo “Guardians of Peace“ (#GOP), han sucedido muchas cosas y ninguna de ellas buena para los intereses de la compañía japonesa. Hagamos pues un repaso al que sin duda es uno de los ataques más graves del año a una empresa.
Filtración de películas y relación con Corea del Norte
La primera consecuencia de la que tuvimos constancia tras el ataque fue la filtración de varias películas de Sony Pictures sin estrenar aún o recién estrenadas. Son los casos de Annie, Still Alice, Mr. Turner y To write love on her arms como películas pendientes de estreno en el momento de producirse su filtración, o de la esperada Fury, recientemente estrenada en los Estados Unidos y que tiene a Brad Pitt como principal protagonista.
La filtración de estas películas podría afectar negativamente a las arcas de Sony Pictures, puesto que alguna de ellas son una apuesta clara para triunfar en el periodo navideño. Algunas fuentes incluso citaron que este ataque podría afectar a los planes de producción de películas aún en desarrollo, como son las nuevas entregas de las sagas James Bond o Spiderman, algo que fue desmentido por Sony Pictures.
Resulta cuanto menos curioso que una de las teorías que más fuerza ha cobrado al respecto sobre quieén puede estar tras este ataque, esté relacionada con el estreno de la película The interview, una comedia interpretada por los actores Seth Rogan y James Franco y cuya trama gira alrededor de un descabellado plan para asesinar al líder de Corea del Norte, Kim Jong-Un.
Esto hizo que muchos vieran a este país como el principal sospechoso, aunque desde Corea del Norte se ha mantenido la política de no afirmar ni desmentir nada. No obstante, representantes de este país han manifestado su profundo desacuerdo y malestar respecto al estreno de esta película, llegándola a considerar como algo intolerable y que requerirá tomar represalias en el caso de que se estrene.
Datos robados y la conexión PlayStation Network
La distribución del fichero con toda la información obtenida por los atacantes se ha realizado principalmente mediante enlaces .torrent, ya sea todo el fichero entero o partes de este. Estos enlaces aparecieron en primer momento en la pantalla mostrada en los ordenadores de Sony Pictures América atacados, aunque no tardaron en ser eliminados.
Los atacantes del #GOP han ido publicando nuevos enlaces con la información robada a los servidores de Sony. Primero fueron alrededor de 33.000 ficheros dentro de un archivo de 27.78 GB publicados el día 1 de diciembre y que contenían datos privados como contraseñas y salarios. Dos días después aparecieron dos nuevos ficheros con 1.18 GB de información y datos entre los que se incluían más contraseñas usadas para administrar sistemas y varios certificados de servidores.
Entre estas contraseñas podrían encontrarse alguna de las que proporcionarían acceso a servidores de PlayStation Network y que podrían haber sido usadas para distribuir el primer fichero con información robada. No es algo que parezca descabellado, puesto que, a pesar de tratarse de dos divisiones completamente diferente dentro de la estructura de Sony, es posible que compartan parte de la infraestructura, especialmente si se lanzan juegos relacionados con el estreno de alguna película.
La tercera filtración se produjo el 5 de diciembre e incluyó datos relacionados con las finanzas de la empresa, como presupuestos y contratos. Todo ello repartido en 22 ficheros y 100 GB de datos, lo que supone una enorme cantidad de información y entre la cual aparecen datos de estrellas de Hollywood como Sylvester Stallone, Rebel Wilson y Judd Apatow.
Pero no solo las celebridades se vieron afectadas. La información incluía datos privados de empleados actuales, antiguos empleados y trabajadores por cuenta ajena de Sony. Entre esos datos encontramos números de la seguridad social, contratos o números de identificación fiscal, llegando este histórico hasta el año 2000.
En la filtración de datos realizada el 8 de diciembre se publicaron 4 ficheros con un total de 2.8 GB de datos, donde se mencionan los posibles motivos de este ataque (la película The interview y la conexión con Corea del Norte que ya hemos comentado) y se mencionan a dos de los directivos de Sony Pictures.
En la última publicación de información de la que tenemos constancia, del domingo 14 de diciembre, se vuelve a anunciar la publicación de una gran cantidad de datos y además se avisa de la intención de publicar correos electrónicos y datos privados de empleados de Sony, aunque los atacantes también permiten que los empleados contacten con ellos si no quieren ver su información publicada.
Procedencia del ataque
Como hemos visto, la teoría de un ataque perpetrado desde Corea del Norte es la que más fuerza está tomando, aunque de momento lo único que parece haberse confirmado es que parte del ataque a Sony Pictures se realizó desde un hotel de lujo en Bangkok, Tailandia. Al parecer, la primera filtración de datos se realizó desde la conexión WiFi de este hotel, aunque aún falta ver si fue realizada por alguno de los clientes alojados en dicho establecimiento o si fue alguien que aprovechó la red inalámbrica disponible en los lugares públicos para enviar estos datos.
De hecho, ni siquiera sería necesario que los atacantes estuvieran físicamente en ese hotel y cabe la posibilidad de que simplemente estuvieran utilizando su red WiFi para ocultar su rastro y dificultar las investigaciones. Además de este hotel, se han encontrado indicios de que otra IP ubicada en una universidad tailandesa fue utilizada por los atacantes
Uso malicioso de la información robada
Aparte de filtrar datos internos de la empresa o de sus empleados, hay mucha información que se podría utilizar para realizar actividades maliciosas. Ya hemos visto cómo algunas de las contraseñas obtenidas permitirían tener acceso a servicios internos de Sony y utilizarlo en beneficio de los atacantes.
Además, hay un aspecto que, si bien de momento ha sido utilizado de forma anecdótica, resulta preocupante de cara a la propagación de nuevas amenazas. Unos días después de las primeras filtraciones, investigadores de Kaspersky descubrieron lo que parecía ser una variante del malware Destover firmado con un certificado válido de Sony.
No obstante, esta muestra no provenía de una nueva campaña de propagación de este malware, y poco tiempo después se descubría que era más bien una “broma” realizada por un grupo de investigadores. Esto no elimina la posibilidad de que veamos algún malware que trate de sacar provecho de la situación y utilice cifrados de Sony, que podrían saltarse medidas de seguridad que confían en estos certificados.
Conclusión
Sin duda, este ataque a Sony Pictures ha sido uno de los más sonados de los últimos años y es probable que aún sigamos viendo noticias relacionados con él durante varias semanas. Esté o no Corea del Norte detrás de los hechos, no debemos olvidar que las empresas, independientemente de su tamaño, son uno de los objetivos preferidos por los delincuentes y debemos adoptar las medidas necesarias para minimizar los daños.